kuri
Bigcake a écritkuri a écritl exploit (a la base wunderbar_emporium) est sorti un peu avant mi-aout, et ca a l air d en parler comme si c etait nouveau ?
J'ai pas compris la question mais j'ai l'impression que tu parle de
cette faille
Ce post parle de
celle la
le probleme est le meme, mais utilise differemment.
tant qu on peut pas mmap sur null, pas de probleme.
HymnToLife a écritLink31 a écritC'est ce qu'on appelle les distributions "grand public", les plus proches parmi l'écosystème GNU/Linux du niveau de sécurité habituel de Windows.
Pour Debian Lenny, ils ont normalement une bonne politique de sécurité, mais ça arrive à tout le monde de faire des bêtises.
La politique de sécurité d'Ubuntu est au moins aussi bonne que celle de Debian stable. Sans doute meilleure, même, puisque les mises à jour de sécurité y sont généralement disponibles plus rapidement.
j ai pas du tout cette impression, bien au contraire.
je n ai plus l url sous la main, mais un mec s etait amuse a surveiller 5-6 failles du kernel, et a regarder a quelles dates elles etaient fixees par les differentes distribs. Ubuntu etait parmis les plus mauvais.
HymnToLife
kuri a écritHymnToLife a écritLink31 a écritC'est ce qu'on appelle les distributions "grand public", les plus proches parmi l'écosystème GNU/Linux du niveau de sécurité habituel de Windows.
Pour Debian Lenny, ils ont normalement une bonne politique de sécurité, mais ça arrive à tout le monde de faire des bêtises.
La politique de sécurité d'Ubuntu est au moins aussi bonne que celle de Debian stable. Sans doute meilleure, même, puisque les mises à jour de sécurité y sont généralement disponibles plus rapidement.
j ai pas du tout cette impression, bien au contraire.
je n ai plus l url sous la main, mais un mec s etait amuse a surveiller 5-6 failles du kernel, et a regarder a quelles dates elles etaient fixees par les differentes distribs. Ubuntu etait parmis les plus mauvais.
Un seul contre-exemple, parce que j'ai pas que ça à faire de les traquer tous. La faille dans udev découverte début avril (pour mémoire, udev ne vérifiait pas en recevent un NETLINK qu'il venait bien du kernel, ce qui permettait à un utilisateur local de passer root).
http://changelogs.ubuntu.com/changelogs/pool/main/u/udev/udev_124-9ubuntu0.2/changelog
udev (124-9ubuntu0.2) intrepid-security; urgency=low
* SECURITY UPDATE: root privilege escalation via udev event spoofing.
- Add debian/patches/81-netlink-owner-check.patch: backport upstream
fixes (CVE-2009-1185).
* SECURITY UPDATE: overflow in path name encoding.
- Add debian/patches/82-encoding-overflow.patch: backport upstream
fixes (CVE-2009-1186).
-- Kees Cook <kees@ubuntu.com> Wed, 08 Apr 2009 17:06:57 -0700
http://packages.debian.org/changelogs/pool/main/u/udev/udev_0.125-7+lenny3/changelog
udev (0.125-7+lenny1) stable-security; urgency=high
* STABLE SECURITY UPDATE.
* Added patch netlink-owner-check, backported by Ubuntu.
Fixes a local privilege escalation to root exploitable by spoofed
netlink messages (CVE-2009-1185).
* Added patch encoding-overflow, backported by Ubuntu.
Fixes a possible local DoS (udevd crash) (CVE-2009-1186).
-- Marco d'Itri <md@linux.it> Wed, 15 Apr 2009 22:16:17 +0200
Une semaine après. Oui, je sais, ce n'est pas une faille du noyau. Pour celles-là, Debian est seulement en retard d'un jour ou deux.
kuri
et la faille dont on parle (CVE-2009-3547) est corrige chez ubuntu ?
(je pose reellement la question, je ne trouve pas l info)
chez debian c est corrige depuis le 5 du mois, et sous arch, ca a tjs ete patch le mmap_min_addr :p
kuri
donc ce n est plus le compte "par defaut" qui va avec l esprit "pc desktop ubuntu tout simple" (puisque si tu cree un nouveau user, tu n es pas dans les sudoers, donc t es limite)
et ca casse avec l esprit "on fournit pas les -dev ni les outils de dev comme ca si un acces est trouve, le vilain ne pourra pas compiler son exploit pour l executer" (qui est largement contournable en compilant le truc sur sa machine, ou une VM disposant de la meme distro, ceci dit en passant), vu que la il faut le compiler l exploit.
j en reviens donc a ce qui a ete dit, si le mec arrive a se log sur ton pc en ssh, il lui suffit de sudo, et non de se faire chier a taper 3 lignes 🙂
et donc, la seule problematique concernant le mmap sur NULL, c est d avoir le mmap_min_addr a une autre valeur que 0.
le fait qu un mec obtienne un ssh sur ton pc c est d un tout autre ordre
kuri
c est pire que de la flemme, je ne souhaite pas en mettre 🙂
mais desfois mon inconscient en place, c est a ce moment la que je me trompe.
les accents saymal.
j en mettrai peut etre le jour ou tout le monde sera d accord pour le format a utiliser (iso-15, utf8, le bidule de macos ...)
en attendant, pas d accents epictoo
(ca fait deja pas mal d annees que j ai decide d ecrire sans accents)
Oliv Mérou
Pourtant, quand on écrit dans une langue, ben, si on veut être lu, faut écrire de manière lisible. L'accent n'est pas une option, il fait parti de notre alphabet. L'écriture SMS n'est pas la bienvenue sur le forum, ce n'est pas pour rien... Écrire de manière lisible c'est respecter ses lecteurs.
MdMax
kuri a écrit
c est pire que de la flemme, je ne souhaite pas en mettre 🙂
mais desfois mon inconscient en place, c est a ce moment la que je me trompe.
les accents saymal.
j en mettrai peut etre le jour ou tout le monde sera d accord pour le format a utiliser (iso-15, utf8, le bidule de macos ...)
en attendant, pas d accents epictoo
(ca fait deja pas mal d annees que j ai decide d ecrire sans accents)
Les accents c'est mal ? 🙂
Il est vrai que sur certains sites, les navigateurs ont du mal à trouver le bon "charset". Mais modifier la langue pour l'adapter à des bugs de sites ou de logiciels, c'est pour le moins étonnant. J'appelle cela une capitulation. La victoire de bugs ou de limitations sur la culture. Il n'est pas rare de trouver des incohérences entre une page de code dans un source HTML et la base de données. Mais comment s'en rendre compte si les accents ne sont pas utilisés ? Comment profiter de la richesse et diversité linguistique mondiale si on appauvrit tout en cultivant des limitations ?
Mais il est difficile d'en vouloir à kuri. 😉 Et si je parle de "limitations" c'est bien parce-que nous utilisons notre langue non seulement dans des champs texte mais aussi dans des adresses.
Exemple au hasard:
http://www.impots.gouv.fr/
Mais où est donc passé l'accent circonflexe sur le o de impôts ? Si le gouvernement se permet de faire des fautes (même dans leur logo), pourquoi reprocher à kuri d'en faire aussi. 😉
Lorsque l'ICANN a annoncé que les noms de domaine pourraient être ouverts à d'autres langues, j'ai immédiatement pensé à nos lettres accentuées et quelles seront les conséquences techniques.
On verra vite qui sont les plus grands défenseurs l'exception culturelle française et de la langue française.
Vous croyez qu'ils seront prêts rapidement ?
http://www.legifrance.gouv.fr/
http://www.education.gouv.fr/
http://www.sante-jeunesse-sports.gouv.fr/
http://www.defense.gouv.fr/
http://www.interieur.gouv.fr/
http://www.pandemie-grippale.gouv.fr/
http://www.polynesie-francaise.pref.gouv.fr/
http://www.competitivite.gouv.fr/
http://www.bison-fute.equipement.gouv.fr/
http://www.securite-informatique.gouv.fr/
etc...
kuri
J evoquerai aussi les petites droleries que l on a lorsque l on essai de faire communiquer des machines disposant d OS differents, entre eux.
Qui a deja cree un serveur samba sur un linux, sur lequel un macos vient creer des fichiers accentues ?
Et apres, avez vous essaye de mettre une 'etiquette' sur un fichier/dossier de ce partage samba, a partir du macos ?
Si oui, allez sur votre linux, et faites un ls pour voir le resultat.
Donc oui il y a aussi les dns, qui n integrent toujours pas les accents, il y a aussi certains systemes et logiciels.
Par exemple, si vous creez un petit jeu pour nintendo DS (purement par hasard), et que c est vous mappez la liaison touche(clavier_visuel_universel)->font, vous faites tous les caracteres comme les accents ? vous faites vraiment tous les accents ? et le mandarin ?
Je suis contre le SMS, mais aussi contre les accents.
Je doute que mes phrases soient aussi illisibles que du SMS, et je doute que si je vous mettai un texte (accentue) en iso15 alors que vous vous attendez a lire de l UTF-8 (ou inversement) ne vous pose pas autant de soucis que le SMS.
Il m arrive aussi de travailler en qwerty (oui, au boulot). Il n est pas plaisant d avoir a travailler sur des fichiers accentues a ce moment la.
Mais je suppose qu il a fallut connaitre tous ces problemes pour s en rendre compte (notamment y a 6-7 ans quand on nous a balance nos distros en utf8 et que personne ne connaissait l utf8, et que tous nos potes parlaient en iso15).
Quand microsoft, apple, et les distro linux seront d accord pour utiliser l utf8 (ou l iso15 je m en fou finalement), que ce soit au niveau des logiciels ou des FS, alors je verrai pour reecrire avec des accents.
Ca doit faire 10ans qu on nous dit que les accents dans les nom de domaine ca pose pas de soucis. mais en iso15 ou en utf8 ? codes sur 1 ou 2 char ? ha, ha, ha, on ne sait pas!
Parce que si tu register un domaine avec des accents, codes sur 2 octets, alors que ton visiteur code ses accents sur 1 seul, il n aura pas la possibilite de consulter ton site, saycong! alors on fait quoi ? on register un nom de domaine pour ceux qui sont sous linux, un nom de domaine pour ceux sous windows, et encore un pour ceux qui ont des pommes ?
Je suis donc le plus compatible ici, je n utilise pas de caractere dont la valeur decimale depasse 127. le simple quote, je ne le met pas par soucis de coherence, mais il est vrai que sa position 39 ne pose aucun probleme technique.
Car je sais pas vous, mais moi j ai du faire un outil qui migre des logs, logs qui ont etes tantot ecris en iso15, tantot en utf8. Et bien dans mon code C, j ai des choses degueulasses comme ca :
sprintf(mask, "-- Mise %c%c jour du cube", -61, -96);
sprintf(mask, "-- Mise %c jour du cube", -32);
car je rappelle, sprintf (comme toute fonction qui manipule des chaines de caractere) utilise des char, et non des unsigned char.
pour les FS windows :
* MS-DOS : A base d ASCII (mais trop vieux pour avoir une partition pour des tests).
* FAT32 : Windows-1258, Base d ASCII sur les 127 premiers caracteres, apres c est du "windows style".
* NTFS : UTF-8.
si tu migres un fichier accentue de MS-DOS a FAT32, tu perds les accents.
si tu migres un fichier accentue de FAT32 a NTFS, tu perds les accents.
concernant linux :
Pour monter une partition FAT32 sans avoir de problemes d encodage, il faut la monter avec l option utf-8 (donc dans le mount -o), cette option se chargera de supporter l encodage windows-1258 qui est repris par l encodage iso8859-14 sous linux (et le relai windows-1258 <-> utf-8 sera pris en compte)
